动态专区

首页 > 动态专区 > 正文

九维团队-紫队（优化）| 紫队剧本: 安全测试的威胁建模（四）

阅读量：次 文章来源：银河集团信息安全服务

写在前边

1. 本文原文为Felisha Mouchous于2020年发表的《Purple Team Playbook: Threat Modeling for Security Testing》，本文为译者对相关内容的翻译及实践记录，仅供各位学术交流使用。另出于易读性考虑，对部分字句有所删改。

2. 如各位需要引用，请做原文应用，格式如下所示：
[序号]Felisha Mouchous,‘Purple Team Playbook: Threat Modeling for Security Testing’, 2020.

3.因文章整体内容较长，完整内容将会在本公众号拆分为多篇内容分别发出。本文为该系列的第四篇。

往期内容请参见合集紫队剧本: 安全测试的威胁建模

2.4 安全测试

在前文中，我们介绍了不同类型的威胁模型以及当前可用于威胁建模的工具，本节将会继续介绍安全测试中涉及的相关内容，并将重点介绍选择组织可以使用的安全测试主题和工具。

2.4.1

红队

来源于冷战、军方中的“红队”一词经常被用来描述一种跳出框线思考并能够预测和模拟对抗行为的方式。标准渗透测试旨在发现和利用范围内目标的漏洞，并遵循PTES等方法，而“红队”则更注重目标，将组织作为一个整体。北约合作网络防御卓越中心的一份报告将网络红队定义为四个主要阶段（图9）。

图 9: 北约红队的四个主要阶段

要进行红队测试，测试人员需要签署一份参与规则合同，以在出现问题时保护他们。作为这项测试的一部分，内部安全运营团队（也称为“蓝队”）即一个组织的捍卫者，将事先不知道红队的测试。目标是观察蓝队对红队攻击的反应，这对组织是有益的，因为它既测试了组织防守方的反应，也确定了他们需要改进的领域。

红队将会使用全面的攻击方法，因为红队成员可以使用任何必要的手段，如利用流程、人员或系统来获得访问权限。例如，红队测试人员可以使用社会工程学让员工点击链接，以便测试人员在组织网络上具有立足点。在正常的渗透测试中不允许进行此类活动，因为范围会更为严格，并会限制这些活动。红队测试可能需要很长时间来进行，而且成本高昂，因为一个组织很可能需要雇佣具有相关经验的第三方来确保红队测试成功。

2.4.2

紫队

紫队通过让红队和蓝队在测试中紧密合作，分别攻击和防守特定目标，从而提高了红队和蓝队的技能和流程。红队像往常一样进行测试，而蓝队将和红队共同努力提高测试结果。紫队可以被视为更具成本效益，因为它可以识别进入组织的许多途径，并允许蓝队根据红队模拟的攻击创建防御。这也有助于建立两个团队之间的合作关系，以便他们相互推动，为组织的利益发展自己的能力。

为了使紫队测试取得成功，组织需要了解他们想要从测试中得到什么，并充分了解组织的安全态势。他们还需要具有相关红蓝团队经验的员工，以便能够模拟和检测攻击。

2.4.3

攻击者

在渗透测试的威胁建模阶段，测试人员需要了解什么类型的攻击者可能针对某个组织，以及他们的能力是什么。不同攻击者有兴趣攻击某个组织的动机会有很大差异。攻击者可分为“脚本小子”、“黑客行动主义者”、“民族国家”、“有组织犯罪”、“内部人士”和高级持久威胁（APT）等群体。

“脚本小子”通常是低级别的攻击者，他们攻击组织的动机是为了名声和认可。TalkTalk公司是“脚本小子”造成的数据泄露的一个很好的例子，因为他们被SQL注入攻击了，这是一种众所周知的web应用程序攻击，已经存在多年。此攻击是OWASP Top 10 web应用程序攻击的一部分。该故事强调了一点，即组织应该首先正确掌握安全基础知识，否则他们可能轻易成为低技能攻击者的目标。

另一个攻击者团体是“有组织犯罪”，他们的动机主要是金融方向，就像银行劫匪对传统银行采取行动一样。金融机构尤其有兴趣保护自己免受这一行为的影响，因为资金损失可能会对其业务和声誉产生影响。

“民族国家”攻击者可能是所有行为者中最复杂的，因为他们由外国政府资助，有政治动机。

“内部人士”攻击者则可能是最难防范的行为人之一，因为内部人士的定义是在一个组织中处于受信任的位置。他们也是一个难对付的威胁体，因为他们的动机可能不同，可能是出于经济动机，可能是被勒索，也可能只是粗心大意。一个组织可以通过背景调查来保护自己，例如查看其财务历史或利益冲突。

“高级持久威胁（APT）”攻击者被认为是拥有大量资源和专业知识的复杂参与者。这个攻击者的其他特点包括有一个特殊的目标，需要他们保持坚持不懈，因此他们会使用隐身和躲避技术来实现这个目标。这一攻击者通常是民族国家或有组织犯罪，因为他们通常具有必要的成熟度和资金，有能力在目标系统上保持持久化。

2.4.4

网络杀伤链

LockheedMartin公司建立的网络杀伤链（Cyber Kill Chain）提供了一种建模敌方行为的方法，以便组织能够检测和防止攻击者的活动，该链显示了攻击者为实现其目标必须完成的活动。杀伤链由图10所示的七个阶段组成。杀伤链是显示APT攻击阶段的流行方式，因为它提供了每个阶段的技术信息以及如何防御攻击的指导。

图 10: Lockheedmartin 网络杀伤链

2.4.5

Mitre ATT&CK 框架

Mitre ATT&CK框架是基于真实世界观察的全球都可访问的对抗战术和技术知识库，可用于组织中的威胁建模，可归类为攻击库。该框架广泛应用于安全行业，组织可以根据该框架中的数据组建红队。

在图11中，我们展示了框架中包含的ATT&CK战术的示例。该框架包括对手细节、战术、技术和缓解措施。Mitre已经创建了许多工具来补充其框架，例如，他们有一个攻击导航器，允许用户通过从其框架中提取数据来计划安全测试。

图 11: Mitre ATT&CK战术类别

2.4.6

安全测试的挑战

要成功地进行安全测试会面临许多挑战。例如，一种观点认为，传统的渗透测试并没有考虑到整个组织的安全态势以及它们如何应对攻击。这导致需要进行红队测试，因为这类测试着眼于整个组织及其脆弱之处，并测试事件响应能力。此外，还发现组织中的防守队员（蓝队）和攻击队员（红队）之间可能存在脱节。这是一个问题，因为如果威胁没有得到适当的传达，就无法适当地缓解。这支持了紫队测试的需要，在紫队测试中，两个团队共同保护一个组织。

一篇关于渗透测试是否应标准化的论文提出了渗透测试的质量问题。作者发现，测试公司并不总是提供足够的测试结果信息。而准确地解释这个问题是如何产生的，以及它是如何成为一个问题的，这才将更为有益。提供更多信息将有助于组织更好地理解和解决未来版本中的问题。

与此相关，作者还在他们的研究中发现，渗透测试公司不愿意提供问题的概念证明，这可能是因为他们希望我们需要为重新测试支付额外费用。然而，这会产生负面影响，因为组织不太可能真正解决问题，他们没有完全理解这个问题，或者自己很难复现这个问题。

组织愿意支付多少费用和测试公司愿意提供多少数据之间似乎存在平衡。同样重要的是，选择合适的测试公司，其测试人员需要具有公认的资质，否则有可能无法获得具有有价值发现的高质量测试。无法保证测试人员会发现所有问题，这就是为什么将来需要重新测试系统。从威胁建模的角度来看，如果一个组织过于依赖第三方测试人员，并且不完全了解他们的威胁，这可能会对组织造成损害。

2.4.7

现有安全测试工具分析

在上面的内容中，我们讨论了不同类型的安全测试，并深入研究了渗透测试和红队和紫队测试。在表3中，我们选择了一系列开源和商业工具，用于对系统进行安全测试和威胁建模。

基于我们的研究，总结了该工具是什么以及该工具的潜在优势和劣势。当然，有许多工具可用于安全测试目的，我们选择了一些适合本文主题的工具；威胁建模和安全测试。

表 3: 相关安全测试工具摘要

工具	描述	优点	缺点
Attack-Tools	Attack-Tools 是一个 GitHub 开源项目，它使用 Mitre ATT&CK 框架来创建对手仿真规划工具。它提供了一个我们可以计划的工具以及我们可以从中查询的数据模型。其目的是帮助人们使用他们创建的数据模型将自己的工具与 mitre 集成。	数据模型对于查询数据很有用，因为它使用 mitre 攻击框架。	规划工具需要定制以用于组织。它也是一个开源工具，因此文档有限且没有相关的商业支持。
Caldera	Caldera 在 Mitre 创建的自动红队对抗仿真系统中，他们使用他们的 ATT&CK 框架作为他们的对手模型，并提交了该工具的论文。Mitre发布了关于如何设置和使用该工具的详细文档。	此工具对蓝队有好处，因为他们可以自动化攻击者行为，这反过来又会向他们显示测试其检测能力以及回归测试其功能所需的遥测数据。	设置和使用此工具有一个陡峭的学习曲线。它也是一个开源工具；因此，没有可用的商业支持。因此，对于组织来说，将其部署在其网络上可能是一个问题。
Mitre Attack navigator/ Mitre Caret	Mitre有几个开源工具，用户可以使用这些工具来利用他们的ATT&CK框架。其中之一是ATT&CK导航器，它允许用户选择他们想要涵盖的技术和策略，并将其导出为JSON或excel文件。另一个工具是Mitre Caret，它利用了来自其分析存储库（CAR）和ATT&CK框架的数据。CARET用于培养对防御能力的理解，并有助于其开发和使用。它目前是每个人都可以使用的概念验证应用程序。	安全测试人员可以使用这些工具来计划他们的测试，它们是开源工具，因此他们没有任何与使用它们相关的成本。这些工具由业界知名的 Mitre 创建，因此数据可以被视为值得信赖的。	这些工具需要定制才能在组织中使用，它本身更像是一个参考工具。
Palo Alto playbook	这个开源工具由Palo Alto网络创建，它是一个对手行为的剧本查看器，映射到Mitre ATT&CK框架。它使用Cyber Kill Chain组织每个APT的技术和战术，并允许用户选择和查找有关查看器的更多信息。	其主要目的是创建一个对手剧本，以帮助组织的捍卫者了解对手的工作方式。然后，他们可以开发检测和响应APT活动的能力。	它不是为某个组织量身定制的，而是一种通用的参考工具，用户可以使用它来查找某些APT威胁参与者的信息。
Vectr.io	Vectr是一个紫队威胁模拟工具，由SecurityRisk Advisors公司创建，它提供了一个免费的开源社区版，供每个人使用。Digital Shadows公司审查了该工具，发现用户可以创建完全可定制的测试用例，并将对手行为模拟映射到Mitre ATT&CK框架。该工具可用于规划、跟踪和监控组织中的所有紫队活动。	该工具是开源的，有助于组织进行紫队评估。它是可定制的，因此我们可以使用工具中所需的任何攻击库或测试用例。	当用户第一次使用产品时，存在学习曲线。它也是一个开源产品，因此组织可以选择使用提供商业支持和指导的紫队工具。
Scythe.io	Scythe是一种商业紫队模拟工具，其功能与Vectr非常相似，并使用Mitre ATT&CK框架模拟攻击者行为。	这是一个商业工具，因此将提供文档和支持。它还帮助团队模拟紫队评估并跟踪结果。	该工具涉及成本，因此需要将其考虑在内。此外，定制工具以满足组织需求可能会产生额外成本。
XM Cyber	XM Cyber提供了一种商业工具，组织可以使用它来自动化其红队活动。它允许用户创建和跟踪测试，并同时运行测试。	该工具允许组织轻松地自动化红队活动，以便他们能够识别测试中的差距。这也有助于紫队测试。	该工具涉及成本，因此需要将其考虑在内。